Active MFA antes de que los delincuentes lo hagan por usted – Krebs on Security


Cientos de sitios website populares ahora ofrecen alguna forma de autenticación multifactor (MFA), que puede ayudar a los usuarios a salvaguardar el acceso a las cuentas cuando su contraseña es violada o robada. Pero las personas que no aprovechan estas protecciones adicionales pueden encontrar mucho más difícil recuperar el acceso cuando se piratea su cuenta, porque cada vez más ladrones habilitarán opciones de múltiples factores y vincularán la cuenta a un dispositivo que controlan. Aquí está la historia de uno de esos incidentes.

Como director de privacidad de carrera para diferentes organizaciones, Dennis Dayman ha tratado de inculcar en sus gemelos la importancia de asegurar sus identidades en línea contra las adquisiciones de cuentas. Ambos son jugadores ávidos en Xbox de Microsoft plataforma, y ​​durante años su padre administró sus cuentas a través de su propia cuenta de Microsoft. Pero cuando los niños cumplieron 18 años, convirtieron las cuentas de sus hijos en adultos, y efectivamente se salieron del regulate de su padre.

En una mañana reciente, uno de los hijos de Dayman descubrió que ya no podía acceder a su cuenta Xbox. El Dayman más joven admitió a su padre que había reutilizado su contraseña de perfil de Xbox en otro lugar, y que no había habilitado la autenticación multifactor para la cuenta.

Cuando los dos se sentaron para restablecer su contraseña, la pantalla mostró un aviso que decía que había una nueva dirección de Gmail vinculada a su cuenta Xbox. Cuando fueron a activar la autenticación multifactor para el perfil de Xbox de su hijo, que estaba vinculado a una dirección de correo electrónico que no period de Microsoft, el servicio de Xbox dijo que enviaría una notificación del cambio a la cuenta de Gmail no autorizada en su perfil.

Desconfiado de alertar a los piratas informáticos de que sabían de su intrusión, Dennis intentó contactar al soporte técnico de Microsoft Xbox, pero descubrió que no podía abrir un ticket de soporte desde una cuenta que no fuera de Microsoft. Utilizando la cuenta de Outlook de su otro hijo, presentó una multa sobre el incidente con Microsoft.

Dennis pronto se enteró de que la dirección de Gmail no autorizada añadida a la cuenta pirateada de Xbox de su hijo también había habilitado MFA. Es decir, su hijo no podría restablecer la contraseña de la cuenta sin la aprobación de la persona que controla la cuenta de Gmail.

Afortunadamente para el hijo de Dayman, no había reutilizado la misma contraseña para la dirección de correo electrónico vinculada a su perfil de Xbox. Sin embargo, los ladrones comenzaron a abusar de su acceso para comprar juegos en Xbox y sitios de terceros.

«Durante este período, comenzamos a darnos cuenta de que su cuenta bancaria estaba siendo retirada a través de compras de juegos de Xbox y (Electronic Arts)», recordó Dayman el anciano. «Saqué los códigos de recuperación de su cuenta Xbox de la caja fuerte, pero debido a que el hacker entró y activó el variable múltiple, esos códigos fueron inútiles para nosotros».

El soporte de Microsoft envió a Dayman y a su hijo una lista de 20 preguntas para responder sobre su cuenta, como el número de serie en la consola Xbox originalmente vinculado a la cuenta cuando se creó. Pero a pesar de responder todas esas preguntas con éxito, Microsoft se negó a permitirles restablecer la contraseña, dijo Dayman.

«Dijeron que su política no period entregar cuentas a alguien que no podía proporcionar el segundo aspect», dijo.

El caso de Dayman finalmente se escaló al Soporte de Nivel 3 en Microsoft, que pudo guiarlo a través de la creación de una nueva cuenta de Microsoft, habilitando MFA en él y luego migrando el perfil Xbox de su hijo a la nueva cuenta.

Microsoft le dijo a KrebsOnSecurity que si bien a los usuarios no se les pide que habiliten la verificación en dos pasos al registrarse, siempre tienen la opción para habilitar la función.

«También se les pide a los usuarios, poco después de la creación de la cuenta, que agreguen información de seguridad adicional si aún no lo han hecho, lo que permite al cliente recibir alertas de seguridad y promociones de seguridad cuando inician sesión en su cuenta», dijo la compañía en un comunicado por escrito. “Cuando notamos un intento de inicio de sesión inusual desde una nueva ubicación o dispositivo, ayudamos a proteger la cuenta impugnando el inicio de sesión y enviando una notificación al usuario. Si la cuenta de un cliente se ve comprometida, tomaremos las medidas necesarias para ayudarlos a recuperar la cuenta. «

Ciertamente, no habilitar MFA cuando se ofrece es un riesgo mucho mayor para las personas que tienen la costumbre de reutilizar o reciclar contraseñas en múltiples sitios. Pero cualquier servicio al que confíe información confidencial puede ser pirateado, y habilitar la autenticación multifactor es una buena protección contra las credenciales filtradas o robadas utilizadas para saquear su cuenta.

Además, una gran cantidad de sitios y servicios en línea que admiten la autenticación multifactor están completamente automatizados y son extremadamente difíciles de obtener ayuda cuando se producen adquisiciones de cuentas. Esto es doble si los atacantes también pueden modificar y / o eliminar la dirección de correo electrónico original asociada con la cuenta.

KrebsOnSecurity lleva mucho tiempo dirigiendo lectores al sitio twofactorauth.org, que detalla las diversas opciones de MFA que ofrecen los sitios world wide web populares. Actualmente, twofactorauth.org enumera casi 900 sitios que tienen alguna forma de MFA disponible. Estos van desde opciones de autenticación como códigos únicos enviado por correo electrónico, llamadas telefónicas, SMS o aplicación móvil, a opciones de «autenticación de 2 factores» u opciones 2FA más robustas y verdaderas (algo que tiene y algo que sabe), como claves de seguridad o 2FA basado en press como Duo Security (un anunciante en este sitio y un servicio que he usado durante años).

El correo electrónico, los SMS y los códigos únicos basados ​​en aplicaciones se consideran menos robustos desde una perspectiva de seguridad porque pueden verse afectados por una variedad de escenarios de ataque bien establecidos, desde el intercambio de SIM hasta el malware basado en dispositivos móviles. Por lo tanto, tiene sentido proteger sus cuentas con la forma más sólida de MFA disponible. Pero tenga en cuenta que si las únicas opciones de autenticación adicionales que ofrece un sitio que frecuenta son SMS y / o llamadas telefónicas, esto es mejor que simplemente confiar en una contraseña para proteger su cuenta.


Etiquetas: Dennis Dayman, microsoft, autenticación multifactor, twofactorauth.org, xbox

Esta entrada fue publicada el viernes 19 de junio de 2020 a las 3:19 pm y se archiva en Últimas advertencias, Herramientas de seguridad.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el last y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia initial